了解Umbrella漫游客户端和F5 VPN兼容性

简介

本文档介绍Cisco Umbrella漫游客户端和F5 VPN之间的兼容性。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco Umbrella漫游客户端。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

简介

Umbrella漫游客户端可用于各种网络和软件配置。本文记录与F5 VPN客户端的所有已知兼容性主题。本文先从当前的预期检测行为开始，然后讨论F5 VPN特定的兼容性说明。

Umbrella客户端已实施自动检测机制来响应VPN更改，以确保维持DNS功能。这会导致客户端在VPN连接时暂时保持未保护状态。有关详细信息，请参阅使用Umbrella漫游客户端的第三方VPN检测启发式规则。

F5 VPN兼容性

在许多配置中，F5 VPN通过将VPN DNS地址插入非VPN NIC来运行，方法是将VPN服务器预置到NIC的DNS。因此，对于x.x.x.x的本地DNS配置和y.y.y.y的VPN配置，结果为y.y.y.y， x.x.x.x。 

使用Umbrella漫游客户端时，这将覆盖放置的127.0.0.1。为了确保F5 VPN不会因无休止的更改环路受损，如果127.0.0.1位于DNS列表末尾或从127.0.0.1快速更改回原位，则Umbrella会停止重新定向。 

在大多数情况下，Umbrella建议使用Umbrella漫游安全模块，该模块是AnyConnect漫游安全客户端的一部分。无需部署VPN（可以在安装时将其从显示中删除）。

此时F5兼容性定义为具有全功能本地和公共DNS的成功的F5 VPN连接。这可能是漫游客户端正常回退到未保护状态的结果。请通过为Cisco Umbrella配置网络，确保在使用F5时您的网络覆盖已准备就绪。

BigIP F5 VPN客户端

BigIP F5边缘客户端是目前最常见的F5 VPN客户端。但是，在许多部署中，它正被新的F5客户端取代。  本文讨论F5 BigIP客户端的所有已知互操作性问题。

F5 DNS中继代理

在激活F5 DNS中继代理服务的配置中，漫游客户端与VPN客户端2.2+不兼容。已知此中继代理在分离DNS模式和基于DNS的分割隧道模式下激活。F5不能与漫游客户端定义的DNS名称一起使用要对F5和漫游客户端使用拆分隧道，请在此时使用基于IP的分割隧道，而不是基于DNS的分割隧道。此外，某些配置和版本可能会导致Umbrella被覆盖，尽管激活DNS中继代理时会显示绿色。

查找拆分DNS或基于DNS的拆分隧道设置

具有分离DNS的F5 VPN分割隧道以“DNS Address Space”设置形式显示。激活时，这会启动F5自己的DNS代理，该代理与漫游客户端冲突。症状是在漫游客户端和VPN均处于活动状态时解析A记录失败。查看此屏幕截图了解工作配置：

最常见的断开设置是“*”。 有关此功能的详细信息，请参阅此F5 KB文章：Windows DNS中继代理服务概述。

此功能最常用于基于DNS的分割隧道。此时，基于DNS的F5分割隧道与Umbrella漫游客户端不兼容，此处记录的配置要求不启动F5 DNS代理。

如今，永久解决方案可以以AnyConnect漫游安全模块（包含在Umbrella DNS许可证中）的形式存在。 从长远来看，Umbrella旨在增加对这些附加DNS模式的支持。但是，由于使用F5 DNS代理，支持仍然有限。

在某些情况下，这种情况在F5 DNS代理上表现出来，即使漫游客户端显示受保护和加密，DNS仍会流向F5。到welcome.umbrella.com的测试页可能会失败（除非网内使用Umbrella），并且由于被拦截，漫游客户端无法用于DNS。漫游客户端功能完全正常，可以报告受保护状态，但无法接收系统发送的DNS。在这种情况下，您需要停止“F5 DNS Relay Proxy”服务(F5FltSrv.exe)以查看它是否有用。

新F5客户端

最近，许多F5部署可以与新的F5 VPN客户端一起部署。Cisco Umbrella团队关于此新客户端的信息有限。但是，Big-IP F5客户端存在的任何条件也可应用到新的F5客户端。